Đã từng có thời điểm mà các tổ chức không thích rủi ro có thể hạn chế nghiêm trọng khả năng người dùng doanh nghiệp của họ mắc phải những sai lầm tốn kém. Với bí quyết kỹ thuật hạn chế, quyền hạn nghiêm ngặt và thiếu sự hỗ trợ, điều tồi tệ nhất mà người dùng doanh nghiệp có thể làm là tải xuống phần mềm độc hại hoặc rơi vào chiến dịch lừa đảo. Những ngày đó giờ đã không còn nữa.
Ngày nay, mọi nền tảng phần mềm dưới dạng dịch vụ (SaaS) chính đều đi kèm với khả năng tự động hóa và xây dựng ứng dụng được thiết kế và tiếp thị trực tiếp cho người dùng doanh nghiệp. Các nền tảng SaaS như Microsoft 365, Salesforce và ServiceNow đang được tích hợp nền tảng không có mã/mã thấp vào các dịch vụ hiện có của họ, đặt chúng trực tiếp vào tay người dùng doanh nghiệp mà không cần yêu cầu sự chấp thuận của công ty. Các khả năng trước đây chỉ dành cho nhóm phát triển và CNTT giờ đây đã có sẵn trong toàn tổ chức.
Power Platform, nền tảng mã ngắn của Microsoft, được tích hợp vào Office 365 và là một ví dụ tuyệt vời do chỗ đứng vững chắc của Microsoft trong doanh nghiệp và tỷ lệ người dùng doanh nghiệp chấp nhận nó. Có lẽ không nhận ra điều đó, các doanh nghiệp đang đặt quyền lực ở cấp độ nhà phát triển vào tay nhiều người hơn bao giờ hết, với ít hiểu biết về bảo mật hoặc kỹ thuật hơn nhiều. Cái gì có thể đi sai?
Thực sự là khá nhiều. Hãy xem xét một vài ví dụ thực tế từ kinh nghiệm của tôi. Thông tin đã được ẩn danh và các quy trình dành riêng cho doanh nghiệp đã bị bỏ qua.
Tình huống 1: Nhà cung cấp mới? Cứ làm đi
Nhóm chăm sóc khách hàng tại một công ty bán lẻ đa quốc gia muốn làm phong phú thêm dữ liệu khách hàng của họ bằng những hiểu biết sâu sắc về người tiêu dùng. Đặc biệt, họ hy vọng tìm được thêm thông tin về khách hàng mới để có thể phục vụ họ tốt hơn, ngay cả trong lần mua hàng đầu tiên. Nhóm chăm sóc khách hàng đã quyết định chọn nhà cung cấp mà họ muốn hợp tác. Nhà cung cấp yêu cầu dữ liệu được gửi cho họ để làm phong phú, sau đó dữ liệu này sẽ được các dịch vụ của họ lấy lại.
Thông thường, đây là lúc CNTT xuất hiện. CNTT sẽ cần xây dựng một số loại tích hợp để lấy dữ liệu đến và từ nhà cung cấp. Nhóm bảo mật CNTT rõ ràng cũng cần phải tham gia để đảm bảo nhà cung cấp này có thể được tin cậy về dữ liệu khách hàng và phê duyệt giao dịch mua. Mua sắm và pháp lý cũng sẽ đóng một phần quan trọng. Tuy nhiên, trong trường hợp này, mọi chuyện đã đi theo một hướng khác.
Nhóm chăm sóc khách hàng đặc biệt này là các chuyên gia của Microsoft Power Platform. Thay vì chờ đợi tài nguyên hoặc phê duyệt, họ chỉ cần tiếp tục và tự xây dựng quá trình tích hợp: thu thập dữ liệu khách hàng từ máy chủ SQL đang được sản xuất, chuyển tiếp tất cả đến máy chủ FTP do nhà cung cấp cung cấp và tìm nạp lại dữ liệu phong phú từ máy chủ FTP về cơ sở dữ liệu sản xuất. Toàn bộ quá trình được thực hiện tự động mỗi khi khách hàng mới được thêm vào cơ sở dữ liệu. Tất cả điều này được thực hiện thông qua giao diện kéo và thả, được lưu trữ trên Office 365 và sử dụng tài khoản cá nhân của họ. Giấy phép đã được trả trực tiếp, điều này giúp việc mua sắm không bị lặp lại.
Hãy tưởng tượng sự ngạc nhiên của CISO khi họ phát hiện ra một loạt công cụ tự động hóa kinh doanh đang di chuyển dữ liệu khách hàng đến địa chỉ IP được mã hóa cứng trên AWS. Là khách hàng duy nhất của Azure, điều này đã gây ra một dấu hiệu đỏ khổng lồ. Hơn nữa, dữ liệu được gửi và nhận bằng kết nối FTP không an toàn, tạo ra rủi ro về bảo mật và tuân thủ. Khi nhóm bảo mật phát hiện ra điều này thông qua một công cụ bảo mật chuyên dụng, dữ liệu đã được chuyển vào và ra khỏi tổ chức trong gần một năm.
Tình huống 2: Ồ, thu thập thẻ tín dụng có sai không?
Đội ngũ nhân sự tại một nhà cung cấp CNTT lớn đang chuẩn bị cho chiến dịch “Cho đi” mỗi năm một lần, trong đó nhân viên được khuyến khích quyên góp cho tổ chức từ thiện yêu thích của họ, trong đó công ty cũng tham gia bằng cách tương ứng với từng đô la do nhân viên quyên góp. Chiến dịch năm trước đã thành công rực rỡ nên kỳ vọng rất cao. Để hỗ trợ chiến dịch và giảm bớt các quy trình thủ công, một nhân viên nhân sự sáng tạo đã sử dụng Power Platform của Microsoft để tạo một ứng dụng hỗ trợ toàn bộ quy trình. Để đăng ký, nhân viên sẽ đăng nhập vào ứng dụng bằng tài khoản công ty của họ, gửi số tiền quyên góp, chọn tổ chức từ thiện và cung cấp chi tiết thẻ tín dụng của họ để thanh toán.
Chiến dịch đã thành công rực rỡ với sự tham gia kỷ lục của nhân viên và nhân viên nhân sự yêu cầu ít công việc thủ công. Tuy nhiên, vì lý do nào đó, đội an ninh không hài lòng với diễn biến của mọi việc. Trong khi đăng ký tham gia chiến dịch, một nhân viên của nhóm bảo mật nhận ra rằng thẻ tín dụng đang được thu thập trong một ứng dụng có vẻ như không nên làm như vậy. Sau khi điều tra, họ phát hiện ra rằng những chi tiết thẻ tín dụng đó thực sự đã được xử lý không đúng cách. Chi tiết thẻ tín dụng được lưu trữ trong môi trường Power Platform mặc định, nghĩa là chúng có sẵn cho toàn bộ đối tượng thuê Azure AD, bao gồm tất cả nhân viên, nhà cung cấp và nhà thầu. Hơn nữa, chúng được lưu trữ dưới dạng các trường chuỗi văn bản gốc đơn giản.
May mắn thay, vi phạm xử lý dữ liệu đã được nhóm bảo mật phát hiện trước khi các tác nhân độc hại — hoặc kiểm tra viên tuân thủ — phát hiện ra. Cơ sở dữ liệu đã được dọn dẹp và ứng dụng đã được vá để xử lý đúng thông tin tài chính theo quy định.
Tình huống 3: Tại sao tôi không thể sử dụng Gmail?
Là người dùng, không ai thích các biện pháp kiểm soát ngăn ngừa mất dữ liệu doanh nghiệp. Ngay cả khi cần thiết, chúng vẫn gây ra những xích mích khó chịu trong hoạt động hàng ngày. Kết quả là, người dùng luôn cố gắng phá vỡ chúng. Một cuộc giằng co lâu năm giữa người dùng doanh nghiệp sáng tạo và nhóm bảo mật là email công ty. Đồng bộ hóa email công ty với tài khoản email cá nhân hoặc lịch công ty với lịch cá nhân: Nhóm bảo mật có giải pháp cho việc đó. Cụ thể, họ áp dụng các giải pháp bảo mật email và DLP để chặn việc chuyển tiếp email và đảm bảo quản trị dữ liệu. Điều này giải quyết được vấn đề, phải không?
Ồ không. Một phát hiện lặp đi lặp lại trên khắp các doanh nghiệp lớn và doanh nghiệp nhỏ nhận thấy rằng người dùng đang tạo ra các công cụ tự động hóa bỏ qua các biện pháp kiểm soát email để chuyển tiếp email và lịch công ty tới tài khoản cá nhân của họ. Thay vì chuyển tiếp email, họ sao chép và dán dữ liệu từ dịch vụ này sang dịch vụ khác. Bằng cách đăng nhập vào từng dịch vụ bằng danh tính riêng và tự động hóa quy trình sao chép-dán không cần mã, người dùng doanh nghiệp dễ dàng vượt qua các biện pháp kiểm soát bảo mật — và không có cách nào dễ dàng để các nhóm bảo mật phát hiện ra.
Cộng đồng Power Platform thậm chí còn phát triển mẫu mà bất kỳ người dùng Office 365 nào cũng có thể nhận và sử dụng.
Với sức mạnh lớn đến trách nhiệm lớn
Trao quyền cho người dùng doanh nghiệp là rất lớn. Ngành nghề kinh doanh không nên chờ đợi CNTT hay tranh giành nguồn lực phát triển. Tuy nhiên, chúng tôi không thể chỉ cung cấp cho người dùng doanh nghiệp quyền lực ở cấp độ nhà phát triển mà không có hướng dẫn hoặc biện pháp bảo vệ và mong rằng mọi thứ sẽ ổn.
Các nhóm bảo mật cần giáo dục người dùng doanh nghiệp và giúp họ nhận thức được trách nhiệm mới của mình với tư cách là nhà phát triển ứng dụng, ngay cả khi những ứng dụng đó được xây dựng bằng cách sử dụng “không có mã”. Các nhóm bảo mật cũng nên áp dụng các biện pháp bảo vệ và giám sát để đảm bảo rằng khi người dùng doanh nghiệp mắc lỗi, giống như tất cả chúng ta, điều đó sẽ không dẫn đến rò rỉ dữ liệu toàn diện hoặc sự cố kiểm tra tuân thủ.
